Cách AI của chúng tôi tiết kiệm 27,7 triệu USD tiền của người dùng và giành được khoản tiền thưởng tối đa 250.000 USD

Hệ thống AI mà chúng tôi tôi đã xây dựng trong hai năm qua vừa ngăn chặnặn một vụ khai thác trị giá 27,7 triệu đô la. Dự án đã trao cho chúng tôi khoản tiền thưởng 250. 250.000 đô la, đây là khoản thưởng lớn nhất từng được trả cho một lỗ hổng do AI phát hiện hoàn toàn.

Không có con người nào hướng dẫn quá trình tìm kiếm. Hệ thống tự tìm ra nó. Chúng tôi đã xác thực nó với đội ngũ chuyên gia bảo mật hàng đầu thế giới và báo cáo nó.

AI đã giải được toán olympiad, khám phá ra các protein mới và đánh bại bác sĩ trong chẩn đoán bệnh. Nó vừa thêm một thành tích nữa vào danh sách.

Luận điểm khởi nguồn mọi thứ

Chúng tôi bắt đầu xây dựng hệ thống này dựa trên một luận điểm cụ thể. Có một giới hạn nhận thức về độ sâu mà bất kỳ kiểm toán viên nào cũng có thể theo dõi theo qua các hệ thống tương tác. Các nhà nghiên cứu giỏi nhất thế giới chạm trần ở khoảng 4 đến 5 cấp độ tương tác hệ thống. Và hầu hết các lỗi nghiêm trọng sống sót qua các cuộc qua các cuộc kiểm toán đều nằm dưới mức trần đó.

Vì vậy, chúng tôi muốn tìm hiểu xem liệu AI có thể vượt qua nó hay không.

Những gì chúng tôi xây dựng không phải là một máy quét khác. Không phải là một lớp bọc ChatGPT khác tràn ngập bạn với các cảnh báo sai. Chúng tôi đã xây dựng một kiến trúc suy luận trên các mô hình AI hiện có, đẩy chúng vượt xa những gì chức năng thiết kế. Một hệ thống theo dõi logic qua 7+ lớp hệ thống tương tác hệ thống cùng lúc, tìm ra những lỗ hổng mà không người nào biết để tìm kiếm.

Các mô hình tiên phong từ các phòng thí nghiệm AI hàng đầu đều có hạn chế suy luận cơ bản. Chúng không thể giữ và theo dõi logic phức tạp qua nhiều lớp hệ thống tương tác. Không. Không phòng thí nghiệm nào giải quyết được điều này. Chúng tôi đã làm được. Với cùng các mô hình đó, hệ thống của chúng tôi cho ra một cấp độ đầu ra hoàn toàn khác. Giống như mô hình đang chạy ở 30% và không ai nhận ra.

Làm thế nào tôi tham gia

Tôi đã săn lỗi trong nhiều năm. Tôi đã thấy mọi thế hệ "công cụ bảo mật AI" xuất hiện. Các máy quét cấp cao gắn cờ các vấn đề hiển nhiên, các lớp bọc ChatGPT đưa ra hàng trăm cảnh báo sai. Tất cả đều lãng phí thời gian.

Khi @0xitsgreg cho tôi xem những gì anh ấy đã xây dựng, tôi mong đợi một bản demo thông thường. Những gì tôi thấy thay vào đó là một hệ thống thực hiện các cuộc đào sâu cực đoan trên mỗi mã nguồn để khai quật những lỗi khó tìm và khó phát hiện nhất.

Tôi đã tham gia với tư cách đồng sáng lập viên và CEO.

Bãi chứng minh khó khăn nhất mà chúng tôi có thể tìm thấy

Chúng tôi chọn tiền điện tử vì khi một lỗ hổng bị khai thác trên một giao thức đang hoạt động, tiền thật sẽ bị rút trong vài phút. Không có "chúng tôi sẽ vá nó vào quý sau." Và các giao thức lớn nhất đã được kiểm toán 3, 4, 5 lần bởi các công ty hàng đầu thế giới.

Nếu hệ thống của chúng tôi có thể tìm ra những gì họ đã bỏ sót, đó là bằng chứng mạnh mẽ nhất có thể tưởng tượng được.

Trong những tháng qua, nó đã tìm ra các lỗ hổng đã được xác nhận trên các giao thức đang hoạt động như Ethereum, Lido, Chainlink, Aave, Uniswap, Polygon và những giao thức khác. Tất cả các giao thức này đang bảo vệ hàng tỷ tỷ đô la. Tất cả đều đã được kiểm toán nhiều lần bởi các công ty hàng đầu. Mọi phát hiện đều bị bỏ sót bởi mọi người đánh giá.

Phát hiện 250.000 đô la

Hệ thống

Hệ thống đã phân tích một giao thức lớn, đã được kiểm toán kỹ lưỡng bằng cách sử dụng thứ chúng tôi gọi là Phân tích bất biến sâu (Deep Invariant Analysis). Nó tiếp nhận mã nguồn, ánh xạ mọi mô-đun, mọi phụ thuộc, mọi tương tác giữa các hệ thống. Nó theo dõi các đường dẫn thực thi để tìm kiếm các bất biến, những thứ không bao giờ nên hỏng nhưng có thể hỏng trong các điều kiện cụ thể.

Khi nó tìm thấy một luồng đầy hứa hẹn, nó khởi động các tác tử phụ được kết nối để khám phá các góc độ khác nhau song song, khởi chạy một sandbox, viết các bằng chứng khái thác, lặp lại và tinh chỉnh đường tấn công cho đến khi có thứ gì đó hoàn toàn có thể tái tạo hoàn toàn.

Sau đó, nó thông báo cho chúng tôi.

Chúng tôi mở phát hiện ra và mong đợi một trường hợp ngoại lệ mức độ trung bình khác. Những gì chúng tôi đang nhìn vào là một lỗi logic nghiêm trọng trong tương tác của nhiều hệ thống. 27,7 triệu đô la tiền của người dùng có nguy cơ trực tiếp bị rút trong một cuộc tấn công duy nhất.

Chúng tôi đã xác thực nó và báo cáo qua @HackenProof. Giao thức đã xác nhận, vá ngay lập tức và trao cho chúng tôi khoản thưởng 250.000 đô la cho mức độ nghiêm trọng tối đa.

Điều này có nghĩa là gì

Tiền điện tử đã chứng kiến nhiều vụ khai thác gần đây, và phần lớn các giao thức đổ lỗi cho người khác. Trong khi đó, những kẻ tấn công ngày càng tinh vi hơn, ngày càng được hỗ trợ bởi AI, và độ sâu của đánh giá bảo mật không theo kịp.

Trần về những gì chỉ con người có thể đạt được trong bảo mật đã tồn tại trong nhiều năm. Khoản thưởng này là bằng chứng cho thấy AI giờ đây có thể phá vỡ nó. Và chúng tôi đã được một trong các phòng thí nghiệm AI lớn tiếp cận để khám phá những gì chúng tôi đã xây dựng.

Hôm nay, chúng tôi ra khỏi chế độ ẩn danh. Chúng tôi tự gọi mình là @therealgregoai. Chúng tôi chỉ mới bắt đầu.

Nếu bạn muốn khám phá hiểu những lỗ hổng mà giao thức của mình có thể đã bỏ sót, hãy nhắn tin riêng cho tôi.